Akár 250 000 dollárt is érhet egy Windows-hiba felderítése

Míg Magyarországon a T-Systems börtönnel jutalmazza egy hiba bejelentését, a Microsoft hatalmas összeget fizet érte.

A redmondi konszern bejelentette a Windows Bounty Programot, amelynek keretében drasztikus mértékben megnövelte a felfedezett és jelentett hibákért kifizetett összegeket. Ezzel a lépéssel a cég célja, hogy a sebezhetőséget feltérképezők ne harmadik félnek adják el a birtokukba jutott információt. A Microsoft nyilvánosságra hozta az egyes programverziókkal és a jutalmak összegével kapcsolatos listát. A jutalom összege függ attól, hogy a biztonsági rés pontosan hol található és mennyire súlyos. A társaság a legtöbb pénzt - akár 250 000 dollárt - a Hyper-V virtualizációs szoftverben felderített súlyosabb hibákért fizet. A Hyper-V többek között része a Windows 10 és a Windows Server operációs rendszernek is. A legkisebb jutalom ebben az esetben 5000 dollár lehet.

A Windows operációs rendszer esetében a biztonsági rések felfedezéséért 500 és 200 000 dollár közötti összeg jár, a Windows Defender Application Guard sebezhetőségeiért minimum 500, maximum 30 000 dollár, míg az Edge böngésző és a Windows Insider Preview hibáiért minimum 500 és legfeljebb 15 000 dollár.

A program határozatlan időre szól, s minden olyan tervezési és kódhibára vonatkozik, amelyek az ügyfelek magánéletét és biztonságát egyaránt érinthetik. A jutalom odaítéléséhez szükség van arra, hogy a bejelentő személy megfelelő dokumentációval támassza alá az észrevételeit és az anyagokból logikus lépésekkel levezethető legyen a biztonsági rés felfedezése. A biztonsági rést és az azzal kapcsolatos információkat az illető nem hozhatja nyilvánosságra. Akkor is jutalmat kap a sebezhetőség külsős felfedezője, ha a hibát a fejlesztők egyébként már ismerték, ilyen esetekben az összeg tíz százalékát utalják át neki.

Az Apple tavaly indította el a biztonsági prémiumprogramját. A társaságnál regisztrált biztonsági kutatók - a hiba súlyosságától függően - akár 200 000 dollárt is kaphatnak, ha jelentik az általuk felfedezett vagy a tudomásukra jutott biztonsági réseket. Júliusban azonban kiderült, hogy eddig csak kevesen használják ki a cég által meghirdetett programot.